El fraude informático se ha convertido en la principal amenaza para los consumidores en el entorno digital. En 2023 se cometieron en España un total de 427.448 estafas informáticas, lo que supone un aumento del 27% respecto al año anterior, según el último Informe sobre Cibercriminalidad del Ministerio del Interior. Este tipo de delito representa ya el 90,5% de la cibercriminalidad en nuestro país, poniendo en jaque la seguridad financiera de miles de usuaarios mientras los bancos, en muchas ocasiones, optan por judicializar los casos en lugar de asumir su responsabilidad.
Ante este panorama, los expertos en derecho de consumo coinciden en la necesidad de que los abogados se especialicen en la defensa de estos afectados, dominando tanto la vertiente legal como los aspectos técnicos de los fraudes digitales. La inteligencia artificial se perfila como una aliada clave en la detección de amenazas, pero también como una herramienta utilizada por los ciberdelincuentes para perfeccionar sus engaños.
En este contexto, la Sección de Derecho de Consumo del ICAM, dirigida por Iciar Bertolá, ha reunido a jueces, abogados y expertos en ciberseguridad para analizar el impacto de las ciberestafas y los desafíos legales que plantean.
El debate se estructuró en un doble panel moderado por el abogado Pedro Fernández-Villamea, abordando tanto la vertiente técnica como la jurídica para fijar ideas sobre este fenómeno emergente que preocupa de manera creciente a los consumidores, ante la actitud de los bancos de judicializar estos asuntos.
En la primera mesa, Adrián Gómez, LAJ del Juzgado 104 Bis, especializado en recibir demandas por ciberestafas, advirtió que la expansión de estos delitos informáticos se situará en los próximos meses en el mismo plano que las cláusulas suelo o las demandas por crédito revolving. “Eso hace que los abogados expertos en derecho de consumo tengan que conocer bien la problemática, tanto desde un punto de vista legal como técnico”.
Junto a Gómez, intervinieron Alicia Visitación, magistrada del Juzgado de Primera Instancia 89 de Madrid y juez de refuerzo del Juzgado 104 Bis; Natalia Pecharromán, del Departamento de Servicios Legales de ASUFIN; José María Escat, socio director del área bancaria de EJASO; y María Luisa García Torres, jefa de Estudios de la UAX y profesora de Derecho Procesal.
En el debate técnico tomaron la palabra César Cabañas, director comercial y de desarrollo de negocio en Informática Forense y Ciberseguridad; Carmen Reina, Head of Data Culture; y Eduvigis Ortiz, presidenta y fundadora de Woman4Cyber, quienes trataron de dar pautas sobre cómo identificar estos ciberataques y, sobre todo, cómo presentar las pruebas en una posterior denuncia ante la policía.

En su turno de palabra, la magistrada Visitación destacó que muchas de las resoluciones judiciales defienden la exoneración del consumidor y señalan la culpa de la entidad financiera por el concepto de responsabilidad cuasi objetiva de los bancos. “Las entidades de crédito requieren que se presente la denuncia ante la policía, pero no es necesario. La negligencia grave de la entidad bancaria pasa por su falta de medidas específicas de supervisión del cliente”.
Este extremo lo confirman “las sentencias de la Audiencia Provincial de Jaén 290/24, de 29 de febrero, y la de la AP de Huesca 97/24, de 8 de febrero, que señalan que hay que optar por medidas inusuales ante operaciones que sufren los consumidores y que no son habituales. Este negocio lo han desarrollado estas entidades y el consumidor se ve obligado a utilizarlo”.
En este contexto, habló de la problemática de las personas mayores: “Cada vez hay menos sucursales abiertas y, para ellos, es difícil utilizar estas tecnologías. Eso hace que muchos de ellos puedan sufrir estas estafas informáticas. La sentencia de la AP de Asturias, Sección Cuarta, de 10 de abril de 2024, recuerda que el cliente confía en su entidad porque se mueve en un entorno de confianza y seguridad. Los tribunales recuerdan que no se puede exigir la misma diligencia al usuario que a la entidad bancaria. El banco debe tener medidas para frenar esa conducta inusual del cliente, que es fruto de que está siendo estafado”.
Sobre el concepto de negligencia grave del cliente, la magistrada indicó que no hay ninguno establecido: “Cada juez lo considera de una manera. En principio, están de acuerdo en señalar que es difícil de detectar para un consumidor medio. No puede haber negligencia grave porque la iniciativa no parte del consumidor. Por el momento, la mayor parte de las sentencias dan la razón al consumidor”.

Esta jurista recordó que “una sentencia de 9 de marzo de 2023 de la AP de Navarra señala que ser un policía foral no supone que sea un experto en contratación online. Sobre el concepto de negligencia grave, es por lo único que responde el propio consumidor. De todas formas, cada vez es más difícil percibir el engaño porque los ciberatacantes utilizan métodos cada vez más sofisticados”.
Las conversaciones posteriores con los ponentes dejan claro que el problema es grave. Los consumidores necesitan contar con abogados especializados en derecho de consumo que conozcan la problemática ante el litigio que habitualmente genera el banco, que prefiere acudir a la vía judicial antes que cumplir con la normativa y con la responsabilidad cuasi objetiva que le obliga a devolver ese dinero.
Responsabilidad cuasi objetiva del banco
José María Escat es el socio responsable de Derecho Bancario de EJASO, un profesional acostumbrado a trabajar con estas entidades y darles apoyo legal cuando surge este tipo de incidentes, que en muchas ocasiones lo enfrenta con un consumidor que ha visto perdido su dinero. “Hay que analizar caso a caso para saber de quién es la responsabilidad de esa ciberestafa. En este contexto, definir qué parte ha cometido una negligencia grave es clave para saber si el consumidor va a recuperar el dinero o no”, afirma.
Sobre el crecimiento exponencial de las ciberestafas, este jurista destaca que “es un fenómeno que seguirá creciendo. Hay que partir de la base de que las redes, como Internet, no son seguras. Siempre hay gente interesada en aprovecharse de las debilidades de las redes, no solo en entidades bancarias, sino en cualquier negocio o incluso directamente extorsionando a los consumidores con mensajes maliciosos que generan imprudencias. Los fraudes siguen aumentando y es importante que se tomen precauciones”.

Respecto a quién es responsable de estas ciberestafas, Escat subraya que “aunque la normativa actual, que ha traspuesto la directiva europea sobre estos temas, habla de la responsabilidad cuasi objetiva de la entidad bancaria, al final hay que analizar cada caso en concreto porque no hay dos estafas iguales. Eso significa que, salvo que la entidad bancaria pruebe que ha existido fraude o negligencia grave por parte del consumidor, tendrá que devolver ese dinero incautado a su cliente. Así lo viene señalando la jurisprudencia más reciente”.
En cuanto a la vía judicial, sostiene que “en algunos casos, el banco cree que no tiene culpa, que ha puesto las medidas adecuadas y, como no hay acuerdo con el cliente, el asunto acaba en la vía judicial. De todas formas, en este tipo de asuntos también es posible implementar alguna fórmula de negociación para que no termine en los tribunales, sobre todo en casos menos complejos. En cualquier caso, la gran mayoría de las sentencias judiciales dejan claro el concepto de responsabilidad cuasi objetiva del banco en estos temas”.
La IA puede ayudar a detectar los fraudes
Carmen Reina es matemática y experta en inteligencia artificial. Su trabajo como especialista en Data Culture es implementar la IA en la empresa. Desde su punto de vista, estas herramientas disruptivas pueden ayudar a los abogados en su actividad diaria y colaborar con la ciberseguridad para garantizar la protección de los usuarios. “El entorno es cada vez más digital y los poderes públicos deben tomar medidas para frenar esta escalada de fraudes. La IA es un buen aliado para ello”, afirmó.
Desde su perspectiva, “el crecimiento de las ciberestafas es paralelo a un uso mayor de los medios digitales, no siempre de forma afortunada. En este tipo de asuntos, el engaño cibernético se ha sofisticado mucho y hay que tener cuidado con todos esos correos o llamadas que recibimos sin haberlos solicitado. Estafas ha habido siempre, lo que sucede es que ahora se utilizan los medios digitales”.

Para esta experta, la IA puede ayudar a detectar este tipo de fraudes y amenazas, además de monitorizar todos los ciberataques. Sin embargo, señaló que “la culpa es tanto del banco como del propio consumidor. Por un lado, los bancos tienen que garantizar a sus clientes esa seguridad y contar realmente con las medidas de seguridad que dicen tener. Deben mejorar sus políticas de ciberseguridad. De momento, no han dado con la clave. Por otro lado, los propios usuarios no son capaces de identificar el fraude”.
En este tipo de asuntos, resulta patente la falta de colaboración de los bancos cuando se produce una ciberestafa: “Se desentienden de la responsabilidad que la ley establece como cuasi objetiva y que les atañe a ellos, por lo que el asunto acaba en los tribunales. Creo que habría que endurecer las sanciones a las entidades bancarias y que se comprometieran a una mayor protección de los ahorros de los consumidores para que se reduzcan estos ciberataques”.
Al mismo tiempo, esta experta considera que “también hay que educar al ciudadano para que aprenda a identificar los correos o información que recibe. Que sepa distinguir entre los mensajes legítimos del banco y los fraudulentos, que pueden meterlo en un buen lío si pincha en esos enlaces. En la solución de este problema, el Estado tiene que implicarse y debería establecer una regulación más estricta, ya que utilizamos estos sistemas bancarios. Ahora llegan las monedas digitales y es posible que seamos aún más vulnerables”.
El informe pericial es importante
Por su parte, César Cabanas es consciente de que el consumidor debe tener ciertos conocimientos técnicos en este tipo de situaciones para identificar los riesgos derivados de una ciberestafa. “Hay que entender lo que nos pasó, saber qué deberíamos haber hecho para no caer en el fraude y, en tercer lugar, reconocer la importancia de los análisis periciales para luego poder presentar pruebas suficientes de que hubo un ciberataque”.
En su opinión, “las entidades bancarias han mejorado mucho en medidas de seguridad e invierten cada vez más en ciberseguridad. Una cosa es que estas entidades tengan todas las medidas de seguridad y otra es que exista la ciberseguridad absoluta. El cien por cien de seguridad no existe en un mercado online y conectado como el financiero, que no deja de crecer. No es fácil revocar una estafa, ahí los ciberatacantes juegan con el factor tiempo. Pero lo mismo sucede en la seguridad física: no hay nada inexpugnable al cien por cien”.
En todos estos incidentes, Cabanas tiene claro que “siempre son culpables los que ciberatacan. Otra cosa es que, en las medidas de seguridad, todos tenemos la responsabilidad de poner las máximas posibles. Bancos y ciberatacados tenemos el problema de que existen individuos y mafias organizadas que se dedican a robar. Algunos consumidores, más vulnerables por edad u otras cuestiones, son blanco de quienes buscan crearles estas ciberestafas. A ellos hay que dirigir con más intensidad programas formativos”.
Respecto al futuro más inmediato, donde la IA aparece como herramienta de ayuda a los profesionales que luchan contra esta lacra, este experto también es consciente del uso de la IA para crear ciberestafas más sofisticadas. “Es posible que la situación se complique aún más, porque sabemos que las ciberestafas seguirán creciendo de forma notable. El uso de las herramientas de IA va a ayudar a perseguir este tipo de delitos, pero hay que darse cuenta de que la seguridad total no existe en ninguna organización, por sólida que sea”.
La denuncia es necesaria
Para Eduvigis Ortiz, presidenta y fundadora de Women4Cyber, la asociación, formada por 350 mujeres, “trabajamos en la atracción y promoción del talento femenino en el mundo de la ciberseguridad. Tenemos un ecosistema de empresas que nos apoyan, así como entidades colaboradoras. Realizamos programas de mentoring, escuela de emprendimiento, charlas inspiradoras y diversas actividades para atraer ese talento femenino”.
Desde su punto de vista, “el problema de las ciberestafas está creciendo de forma considerable. Muchas de nuestras expertas, que trabajan en el mundo financiero y de la ciberseguridad y que intervienen en nuestros foros, ven que es un problema de concienciación y formación por parte del consumidor. Nosotros caemos en las estafas porque no sabemos identificar un correo malicioso del que no lo es, o una llamada en la que nos piden datos. En esos casos debemos desconfiar y no caer en esa trampa. Se trata, al mismo tiempo, de que se protejan mejor los datos de las personas”.

En su opinión, “pese a que se dice que las entidades bancarias colaboran poco cuando hay una ciberestafa, mi experiencia como afectada ha sido diferente. Hay que saber también que el INCIBE cuenta con el teléfono 017, a través del cual se puede denunciar una ciberestafa. Y lo que es más importante, sus técnicos te dan los primeros consejos sobre qué debes hacer si eres afectado por una ciberestafa. Es importante conocer cuál es el protocolo que hay que seguir para que nos devuelvan el dinero en este tipo de situaciones o para recuperar nuestros datos”.
Para esta experta, “es importante hacer una denuncia ante la Policía Nacional y luego acudir con ella al banco. A partir de ahí, se trata de que la entidad financiera haga las comprobaciones de que se ha producido ese fraude para luego reintegrar el dinero, como fue en mi caso. De todas formas, también sabemos que en otras situaciones se judicializa el asunto y el consumidor debe buscar el apoyo legal de un abogado para resolverlo. En este futuro más inmediato, la IA puede ser una herramienta interesante para detectar y frenar, en la medida de lo posible, este tipo de fraudes”.